Apache: Version 2.4.52 schließt Sicherheitslücken

Böswillige Angreifer könnten Apache-Internetserver abstürzen lassen oder eine Sicherheitslücke sogar für noch Schlimmeres missbrauchen. Diese Schwachstellen dichtet die neue Apache-Version 2.4.52 ab. Eine der Sicherheitslücken wird von den Entwicklern als moderates Risiko, eine andere aber als "hohe" Gefahr bewertet. Deshalb sollten die Administratoren die Aktualisierung rasch installieren. Details zu den Schwachstellen Die schwerwiegendere Lücke steckt im LUA-Skript-Parser mod_lua (CVE-2021-44790, Risiko hoch). Durch manipulierte Anfragen aus LUA-Skripten heraus hätten Angreifer einen Pufferüberlauf beim Aufruf von r:parsebody() auslösen können. Pufferüberläufe dieser Art lassen sich häufig beispielsweise zum Ausführen eingeschleusten Codes missbrauchen. Zwar sind dem Apache-Projekt noch keine Exploits für diese Schwachstelle bekannt. aber die Entwickler schätzen, dass es möglich sei, einen dafür zu entwickeln. Apache als Forward-Proxy Ist Apache nur als Forward-Proxy konfiguriert, dann könnten Angreifer mit dem Senden einer manipulierten URI einen Absturz aufgrund einer sogenannten Null-Pointer-Dereferenz auslösen (CVE-2021-44224, moderat). Ein solcher Pointer (Zeiger) weist bereits ins digitale Nirvana (NULL), was ihn dann ungültig macht. Die weitere Dereferenzierung führt in aller Regel zum Absturz der Software. Apache als Forward- und Reverse-Proxy Wenn Apache aber als Forward- und Reverse-Proxy arbeitet, kann das eine Server Side Request Forgery (SSRF) provozieren, durch die ein Angreifer unbefugt Zugriff auf Ressourcen des Servers oder weiterer Systeme bekommen könnte. Neue Apache-Version 2.4.52 bringt Abhilfe Von der ersten Lücke [...]

2021-12-21T11:38:12+02:00Dezember 21st, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Apache: Version 2.4.52 schließt Sicherheitslücken

Firefox 86 verbessert Komfort und Sicherheit

Heute wurden die neuen Firefox-Versionen 86 und 78.8 ESR veröffentlicht. Firefox 86 und die ESR-Version (Extended Support Release) 78.8 können ab heute downgeloadet werden und kommen bei aktiviertem Auto-Update nach und nach als Aktualisierung auf solche Rechner, auf denen der Browser schon installiert ist. Im neuen Firefox wurden bestehende Funktionen wie die vereinfachte Leseansicht und die Picture-in-Picture-Funktion verbessert. Sowohl eue Minimalanforderungen an die Verschlüsselung der Echtzeitkommunikation per WebRTC als auch der neu implementierte Schutz vor "Stack Clash"-Angriffen auf Linux- und Android-Systeme sollen die Sicherheit beim Surfen erhöhen. Neu ist auch ein Feature namens "Total Cookie Protection", das Website-übergreifendes Tracking erschweren soll. Außerdem wurden in den neuen Firefox-Ausgaben Schwachstellen, auch mehrere mit "High"-Einstufung, entfernt. Der Komfort wurde merklich verbessert Nutzer dürften beim Surfen mit der neuen Browser-Version sofort zum Beispiel die Default-Aktivierung der in älteren Firefox-Ausgaben manuell einzuschaltenden Picture-in-Picture-Funktion sowie ein Bugfix für die vereinfachte Leseansicht ("Reader View") bemerken. Die Leseansicht funktioniert jetzt auch beim (Offline-)Lesen lokal gespeicherter HTML-Seiten und verbessert den Lesekomfort dadurch, dass potenziell störende Bedien- und anderer Browserelemente teitweise ausgeblendet werden. Der Farbkontrast der Links in der Leseansicht wurde laut Release-Notes jetzt verstärkt, und auch die Funktion  "Drucken" wurde optisch und funktional umgestaltet. Es gibt auch für visuell beeinträchtigte Menschen diverse Verbesserungen der Bedienbarkeit von Screen-Readern in Kombination [...]

2021-02-23T23:43:33+02:00Februar 23rd, 2021|Bildbearbeitung, Browser, Webwerkzeuge|Kommentare deaktiviert für Firefox 86 verbessert Komfort und Sicherheit

Chrome 74 wurde veröffentlicht

Google hat eine neue, abgesicherte Ausgabe seines Webbrowsers Chrome veröffentlicht. Ältere Versionen des Google-Browsers sind angreifbar. Chrome 74 schließt 39 Sicherheitslücken In der neuen Version 74 haben die Entwickler 39 Sicherheitslücken dicht gemacht. Keine davon war zwar als "kritisch" eingestuft, aber trotzdem sollten die Benutzer Chrome 74.0.3729.108 zügig installieren. Andernfalls könnten Angreifer unter Umständen Schadcode auf den Computer laden und ausführen. Google   hat fünf Schwachstellen in einer Sicherheitswarnung mit dem Einstufung "hoch" versehen. Wie man diese Lücken ausnutzt, hat Google noch nicht beschrieben. Dadurch haben die Nutzer Zeit gewonnen, die abgesicherte Ausgabe zu installieren, bevor sich eventuelle Angreifer detailliert mit den Schwachstellen auseinandersetzen können. Normalerweise geschieht die Aktualisierung automatisch. Man kann das Update zur Version Chrome 74 aber auch in den Einstellungen unter "Hilfe" und "Über Google Chrome" manuell starten.

2019-04-24T17:08:19+02:00April 24th, 2019|Browser, Coding|Kommentare deaktiviert für Chrome 74 wurde veröffentlicht

Google veröffentlicht Update auf Chrome 72

Wer das Internet mit Googles Chrome bereist, sollte seinen Browser aus Sicherheitsgründen unter den Betriebssystemen Linux, macOS und Windows auf die gerade freigegebene Version Chrome 72.0.3626.81 updaten. In der neuen Version von Chrome hat Google 58 Sicherheitsprobleme beseitigt. Bisher sind  aber so gut wie keine Details zu den in Chrome geschlossenen Lücken bekannt geworden, denn der Hersteller will erst dann weitere Infos dazu veröffentlichen, wenn genügend Benutzer die neue, abgesicherte Version installiert haben. In einer Sicherheitswarnung machen die Entwickler aber deutlich, dass das Angriffsrisiko für die meisten der entschärften Schwachstellen mit „hoch“ eingestuft ist. Nur eine dieser Lücken wurde als „kritisch“ eingeordnet. Die Aktualisierung des Browsers läuft automatisch Das Update sollte bei den Nutzern in Kürze automatisch durchgeführt werden. Wer das aber zum Beispiel unter Windows beschleunigen will (so wie ich), der kann ganz rechts auf Höhe der Adressleiste auf die drei vertikal angeordneten Punkte klicken und damit dann die Einstellungen aufrufen. In den Einstellungen klickt man unter „Hilfe“ auf den Menüpunkt „Über Google Chrome“, dann erfolgt sofort eine automatische Prüfung auf neue Updates. Danach wird Chrome 72 heruntergeladen und auf dem Rechner installiert. Abschließend muss der Browser noch über die Schaltfläche für die Aktualisierung neu gestartet werden, danach ist das Surfen im Internet mit Chrome wieder sicherer…

2019-01-31T12:40:34+02:00Januar 31st, 2019|Browser|Kommentare deaktiviert für Google veröffentlicht Update auf Chrome 72

Coding: WordPress – Email bei Aktualisierung

Wer zusammen mit mehrere Ko-Autoren an einem Blog schreibt, möchte in der Regel gerne immer auf dem aktuellsten Stand der Beiträge sein. Ein in PHP geschriebener Code-Schnipsel mit der Funktion post_updated_email() aus dem Netz kann bei diesem Problem gut weiter helfen: function post_updated_email( $post_id ) { global $current_user; get_currentuserinfo(); // Ist es nur eine Revision, dann keine Email senden if ( wp_is_post_revision( $post_id ) ) return; $post_title = strip_tags(get_the_title( $post_id )); $post_url = get_permalink( $post_id ); $subject = '[UPDATE] ' . $post_title ; $message = __('Update by ', 'domain') . $current_user->display_name . ' ('.date('c', current_time( 'timestamp', 0 )).')' . "\n\n"; $message .= $post_title . ": " . $post_url; $message .= "\n\n" . __('Update in Post.', 'domain'); $headers = 'From: '.get_bloginfo('name').' <' . get_bloginfo('admin_email') . '>' . "\r\n"; // Email an den Admin wp_mail( get_bloginfo('admin_email'), $subject, $message, $headers ); } add_action( 'save_post', 'post_updated_email' ); Der Code-Schnipsel sendet dem Admin eine Email, wenn einer der Beiträge aktualisiert wurde. Den Code kann man natürlich auch durch Modifikation an die eigenen Bedürfnisse anpassen. Die kurze Funktion kann man am besten in der Funktionssammlung functions.php eines Themes von WordPress unterbringen. Man sollte dabei aber auch bedenken, dass die kleine Hilfsroutine bei zu vielen Änderungen in kurzer Zeit auch einen kleinen Stau [...]

2018-01-27T21:19:51+02:00Dezember 16th, 2017|Allgemein, CMS, Coding, PHP|Kommentare deaktiviert für Coding: WordPress – Email bei Aktualisierung

Google veröffentlicht Chrome 55

Soeben hat Google seinen Browser Chrome auf die Version 55.0.2883.75 upgedatet. Diese Aktualisierung, die in den nächsten Tagen beziehungsweise Wochen allen Nutzern von Chrome unter Windows, Mac OS X und Linux zur Verfügung stehen soll, schließt insgesamt 36 Sicherheitslücken im aktuell beliebtesten aller Browser. Von mindestens zwölf der Anfälligkeiten soll definitiv ein hohes Risiko ausgehen. Da noch nicht alle Nutzer auf die neue Version des Browsers umgestiegen sind, hält Google noch Details zu mehreren der Sicherheitslücken zurück. So geht man dort auch immer dann vor, wenn Bibliotheken von Drittanbietern betroffen sind, die wiederum Teil von anderen, noch nicht gepatchten Projekten sind. Als sehr schwerwiegend bewertet Google den Bug (CVE-2016-9651), der den Zugriff auf persönliche Einstellungen in der JavaScript-Engine V8 möglich macht. Gemeldet wurde diese Schwachstelle von Guang Gong von Alpha Team Of Qihoo 360. Als Belohnung dafür erhält Guang Gong von Google einen in der Höhe nicht bekannten Geldbetrag.

2016-12-03T12:26:25+02:00Dezember 3rd, 2016|Allgemein, CSS, HTML, Javascript|Kommentare deaktiviert für Google veröffentlicht Chrome 55

Sicherheitsupdates für Ruby on Rails

Das Entwickler-Team von Rails hat jetzt Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht. Die Updates mit den Versionsnummern 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View. Über diese Sicherheitslücke waren Angriffe möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Das wird immer dann zum Problem, wenn Programme Benutzereingaben ohne weitere Überprüfung übernehmen wie bei dem nach folgendem Beispiel aus dem Bericht zu der als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle: content_tag(:div, "hi", title: user_input.html_safe) Der Bericht weist auch darauf hin, dass einige der Helper-Funktionen wie beispielsweise sanitize Strings bei der Weitergabe als html_safe markieren und dadurch auch betroffen sind. Neben dieser Schwachstelle, die in allen Hauptversionen von 3 bis 5 zu finden sind, gibt es noch ein weiteres Problem, das nur die 4.2.x-Serie betrifft. Das ist zwar weniger kritisch, erlaubt aber das Ausführen einerIS NULL-Abfrage durch das Einfügen eines [nil]-Wertes innerhalb eines Requests. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer so keine beliebigen Werte in SQL-Abfragen einfügen, sondere nur nach NULL-Werten suchen oder WHERE-Bedingungen entfernen wollen und können. Deshalb raten die Entwickler dringend zur Aktualisierung von Ruby on Rails. Weiterführende Informationen und die Checksummen der Updates finden Sie in der offiziellen Bekanntmachung.

2016-08-12T11:22:09+02:00August 12th, 2016|Allgemein|Kommentare deaktiviert für Sicherheitsupdates für Ruby on Rails

Windows-Update für Version 8.1 ist Pflicht

Passend zum Ende des Supports für Windows XP (und Office 2003) hat  Microsoft das Windows 8.1 Update am gestrigen April-Patchday veröffentlicht. Diese Aktualisierung und alle damit gekommenen Änderungen des Bedienkonzepts müssen Windows 8.1-Nutzer zwangsweise installieren, wenn sie danach noch weitere Sicherheits-Updates erhalten möchten. Das verkündete Microsoft in einem Blog-Eintrag auf Technet zum neuen Update für Windows 8.1. Notwendige Voraussetzung für das Windows 8.1 Update ist der Patch mit der Kennung KB2919355, der sich entweder über die Microsoft-Support-Seite oder per Windows-Update beziehen lässt. Bei den meisten Installationen sollte er sich schon am letzten Patchday automatisch installiert haben.

2014-04-09T08:12:31+02:00April 9th, 2014|Allgemein|Kommentare deaktiviert für Windows-Update für Version 8.1 ist Pflicht

Mit Firefox 28 kommen neue Codecs für Googles WebM/VP9

Die Entwickler von Mozilla haben die auf der letzten Pwn2Own-Konferenz aufgedeckten Schwachstellen ihres Browsers mit Firefox 28 behoben. Mit dieser aktuellen Version lassen sich jetzt auch Videos abspielen, die Googles WebM/VP9-Codec nutzen. Nur knapp eine Woche nachdem Hacker beim Pwn2Own-Wettbewerb Sicherheitslücken im Browser Firefox fanden, werden diese jetzt mit der soeben veröffentlichte Version 28 wieder geschlossen. Vier Schwachstellen hatten die Entwickler als “kritisch” eingestuft, weil sie das Ausführen beliebigen Codes erlaubten. Die Neuerungen für Anwender sind recht überschaubar: Firefox 28 kann jetzt auch mit Googles Codec WebM/VP9 kodierte Videos abspielen, nutzt auf Macs deren Benachrichtigungszentrale für Meldungen und blendet neuerdings beim Abspielen von HTML5-Audio- und -Videodateien einen Lautstärkeregler ein. Die Aktualisierung des Browsers läuft zwar automatisch ab, alternativ kann man aber die neue Version auch manuell herunterladen.

2014-03-19T18:55:51+02:00März 19th, 2014|Allgemein|Kommentare deaktiviert für Mit Firefox 28 kommen neue Codecs für Googles WebM/VP9
Nach oben